Ikke mulig å omgå personvernreglene
Tenk deg at virksomheter bestemte selv hvilke personopplysninger de kunne behandle. La oss for eksempel si at de digitale tjenestene du bruker hver dag, plutselig skrev inn i vilkårene sine at de vil spore deg overalt alltid, og så måtte du bare finne deg i det. Høres det rettferdig ut?
Noen virksomheter har faktisk tatt til orde for at loven skal tolkes slik.
Kreativt fremstøt
Det er ikke fritt frem å behandle personopplysninger i EØS. Personvernforordningen (GDPR) inneholder en uttømmende liste over når behandling av personopplysninger er lov. Man kan for eksempel behandle personopplysninger hvis man har personens samtykke, hvis man har en rettslig plikt til å behandle opplysningene eller dersom det er nødvendig for å gjennomføre en avtale med personen.
For eksempel, la oss si at du handler i en nettbutikk, skal betale med kredittkort og ønsker å få varene levert hjem. Her er det ikke mulig å gjennomføre kjøpsavtalen med mindre tjenesten behandler betalingsinformasjon og hjemadressen din. Behandlingen av opplysningene er dermed nødvendig for å gjennomføre avtalen, og nettbutikken kan lovlig samle dem inn med dette som formål.
Flere multinasjonale teknologiselskaper har varslet at de har en videre forståelse av hva som er «nødvendig for å gjennomføre en avtale». Disse virksomhetene mener at dersom de har skrevet om behandling av personopplysninger i tjenestevilkårene (avtalene) sine, er behandlingen automatisk nødvendig for avtalen og dermed tillatt, selv om det de skriver inn i vilkårene ikke er strengt talt nødvendig for å levere tjenesten du har etterspurt. Det betyr i praksis at de ikke trenger å bekymre seg om hva du ønsker eller gi deg valgmuligheter.
Det er vanskelig å påvirke innholdet i tjenestevilkårene. Videre er forbrukere ofte så avhengig av tjenestene til teknologiselskapene at man ukritisk aksepterer brukervilkårene. Resultatet kan bli at forbrukerne står igjen maktesløse.
Personvernrådet setter ned foten
Personvernrådet (EDPB) har nå vedtatt retningslinjer om hva som er «nødvendig for å gjennomføre en avtale» i kontekst av digitale tjenester. Ikke overraskende deler ikke Personvernrådet teknologiselskapenes lovtolkning. Tvert om slår rådet fast flere viktige ting:
- Man kan ikke skrive inn hva som helst i brukervilkår og så blindt bruke «nødvendig for å gjennomføre en avtale» som rettslig grunnlag for behandling av personopplysninger.
- Det er forskjell mellom hva som er objektivt nødvendig for å levere tjenesten du har etterspurt, og aktiviteter virksomheten ønsker å utføre fordi de er nyttige eller lønnsomme.
- Virksomheter må behandle personopplysninger på en rettferdig måte som gjør personopplysningsvernet reellt.
- Personopplysninger er ikke en salgsvare.
Disse punktene er et uttrykk for at personvernreglene er ment å gi et høyt beskyttelsesnivå. Reglene sier at alle skal få større kontroll over opplysningene sine, og da må virksomhetene respektere det, og ikke prøve å lage smutthull.
For øvrig inntok Artikkel 29-gruppen, Personvernrådets forløper, samme standpunkt etter de gamle personvernreglene.
På høring
Retningslinjene er på høring i seks uker. Det vil si at alle har mulighet til å si sin mening. Les mer om retningslinjene og høringen her.
Etikk og kunstig intelligens på den internasjonale personvernkonferansen
«Etisk bruk av data er ikke lenger et valg, det er en forpliktelse», uttalte Isabelle Falque-Pierrotin, leder av den internasjonale personvernkonferansen og direktør i det franske datatilsynet. I oktober var personvernmyndigheter fra hele verden samlet i Brüssel for...
les mer
«Alexa – hører du meg nå?»
Mange inviterer nå talestyrte assistenter fra verdens mektigste selskap inn i hjemmet. Men de smarte assistentene kommer også med en kostnad. (Artikkelen sto opprinnelig på trykk i Dagens Næringsliv 5. oktober 2018). Talestyrte assistenter er et av de raskest voksende...
les mer
Personvernåret 2018
Dette innlegget er basert på et foredrag jeg holdt på Norsk Informasjonssikkerhetsforum (ISF) høstkonferanse 29. august, og er derfor skrevet i lett muntlig stil. Jeg vil gå gjennom de viktigste personvernhenvendelsene det siste året, og hva vi kan lære av dem, og...
les mer Snart kan sjefen «se» alt du gjør
Ny teknologi gjør det mulig å effektivisere arbeidsprosesser, men samtidig også å overvåke ansatte på nye og mer invaderende måter. (Artikkelen sto opprinnelig på trykk i Dagens Næringsliv 10. august 2018) For et par år siden gikk journalisten James Bloodworth...
les mer Ingen frihet uten personvern
De nye personvernreglene trår i kraft i dag. Du kommer kanskje ikke til å merke dem til vanlig, men du hadde merket det hvis de ikke var der. [Denne teksten sto på trykk i VG 20. juli 2018.] I dag feirer vi at personvernet styrkes. Denne styrkingen er nødvendig i en...
les mer En personvernguide til Arendalsuka
Den nye personopplysningsloven trer i kraft 20. juli 2018. Mange norske virksomheter har gjort en formidabel jobb med å tilpasse seg det nye regelverket, men det er først nå, når reglene trer i kraft, vi vil se om forberedelsene har vært gode nok. Ikke minst er det...
les mer
Jeg vil vite om noen vil sette meg i bås…
…og få et valg om å slippe det! «Hvorfor i all verden får jeg tilsendt helt andre tilbud fra nærbutikken enn naboen?!» Disse ordene falt i en telefonsamtale mellom meg og min far for et år tilbake da min far (76) hadde oppdaget at nærbutikken brukte opplysninger om...
les mer Personvernforordningen setter ny standard for digitale tjenester
(Artikkelen sto opprinnelig på trykk i Dagens Næringsliv 14. juni 2018) Hvis du har tatt turen innom nettsiden til New York Times de siste ukene, har du kanskje lagt merke til at annonsene er borte. Annonsen for bilpakken på Color Line og andre reklamer som pleier å...
les mer
Personvernlovgivningen er 40 år
Lørdag 9. juni er det 40 år siden personregisterloven ble vedtatt i Stortinget. Bakgrunnen for at denne loven kom, var at utviklingen av «databanker» i det offentlige skapte bekymring. Man så en utstrakt registering av enkeltmenneskers og gruppers adferd. I en...
les mer
Legers feilrapportering gir alvorlige konsekvenser for pasientens personvern
Av Grete Alhaug og Veronica Jarnskjold Buer. NRK Brennpunkt viste 2. mai hvordan pasienter opplever seg misbrukt fordi leger feilrapporter til Helfo for å oppnå økonomisk gevinst, på deres bekostning. Pasienten sitter igjen med en journal som ikke svarer til...
les mer
Siste kommentarer